[发明专利]一种交换机加密系统

权利要求书

1.一种交换机加密系统，其特征在于，包括：

CPU控制管理系统，所述CPU控制管理系统用于整个系统的软硬件初始化，安全配置管理，计划调度和用户认证鉴权服务，所述CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块；

核心芯片网络流处理系统，所述核心芯片网络流处理系统用于接收从 4 个千兆接口和 4 个万兆接口进入的网络数据流,所述核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块，其中，

所述CPU控制管理系统、核心芯片网络流处理系统之间的接口是 PCI-E总线,采用专用硬件通信协议和控制协议进行互联。

2. 根据权利要求1所述的一种交换机加密系统，其特征在于，所述包头分析模块用于解析报文L2-L5的信息域，并进行报文合法性检查，根据 L2-L5信息域的MATCH规则，用户基于报文信息域进行过滤规则设置，其中，L2-L5为网络协议的不同层级。

3.根据权利要求1所述的一种交换机加密系统，其特征在于，所述2层交换模块用于支持MAC地址的学习与查找，透明模式的转发；所述3层交换模块用于支持子网表、主机路由表和用户表的查找，基于用户的认证和会话数量限制，路由模式的转发。

4. 根据权利要求1所述的一种交换机加密系统，其特征在于，所述状态检查模块用于根据报文的L3 和 L4 包头信息查找状态表，其中，当找到状态表时，按照协议做状态迁移检查；当未找到状态表时，认为当前包是首包，状态检查模块不做任何处理，传递给下级模块。

5.根据权利要求1所述的一种交换机加密系统，其特征在于，所述白名单策略查找模块用于对于状态检查模块完整的报文，通过9元组进行策略匹配查找比对，并记录相应的比对结果，执行白名单动作，所述9元组包括接口、源MAC、目的MAC、VLAN、EthernetType、IP协议、源IP、目的IP、端口。

6.根据权利要求1所述的一种交换机加密系统，其特征在于，所述黑名单策略查找模块用于对于状态检查模块完整的报文，通过9元组进行策略匹配查找比对，同时根据报文应用层内容字段进行比对，并记录相应的比对结果，执行黑名单动作。

7.根据权利要求1所述的一种交换机加密系统，其特征在于，所述流分类与流量控制模块用于按照用户、策略规则对报文数据流进行分类，并对各分类进行带宽管理和流量整形处理。

8.根据权利要求1所述的一种交换机加密系统，其特征在于，所述输入输出模块包括输入模块、输出模块。

9. 根据权利要求8所述的一种交换机加密系统，其特征在于，所述输入模块用于根据输入的报文类型进行缓存处理，把报文整个推入包缓存，提取报文头部信息，打上报文的包ID送到后续模块继续处理；输出模块用于根据前级所有硬件处理的结果，进行执行动作和修改报文内容的操作，通过包 ID 读取包缓存内报文，处理完成后通过以太网接口输出。

10. 根据权利要求8所述的一种交换机加密系统，其特征在于，所述输出模块用于根据前级所有硬件处理的结果，进行执行动作和修改报文内容的操作，通过包 ID 读取包缓存内报文，处理完成后通过以太网接口输出。